El pasado mes de junio, VISA incluyó a los Administradores de Franquicias (Corporate Franchise Servicer) como una nueva categoría de Agente de Tercera Parte. Este movimiento, según el propio boletín de VISA se debe a la tendencia detectada de incremento y difusión de ataques utilizando la infraestructura de dichos organismos, incluso cuando algunos de dichos sistemas no se utilizan para el procesamiento, ni almacenamiento de transacciones [pero sí están conectados, claro].
Algunos datos interesantes que aparecen en el documento de VISA son los que os comento a continuación. En primer lugar, que las 5 industrias con más incidentes en 2010 son las de restauración (23%), hoteles (12%), minoristas de ropa (6%), tiendas de deporte (5%) y marketing directo (3%) y, en especial, los comercios de nivel 4 (el 96% de los casos, frente al 2% de los de niveles 1 y 3).
Por otro lado, según esos mismos datos, los vectores de ataque más utilizados a fecha de octubre de 2010 son los accesos remotos (41%), los servidores inseguros (33%), las redes inseguras (19%) y los ataques web (7%). En cuanto a los tipos de malware, han aumentado los keyloggers (que han pasado de un 14% a un 51%), han disminuido los parseadores de memoria (de un 49% a un 30%) y han aparecido los keylogger/sniffers (12%), los de ataque web (5%) y las puertas traseras (2%).
Finalmente, los requerimientos que menos se cumplen (datos de 2009 y 2010, hasta junio) son los requerimientos 1, 8, 10 y 11 (un 17% cada uno de ellos), el requerimiento 6 (16% de los casos) y el requerimiento 2 (un 15% de las ocasiones).
Y volviendo al tema que nos ocupaba, simplemente mencionar que se entiende por 'Administrador de franquicia' a la entidad o franquiciador que proporciona o controla un entorno de red con independencia de que almacene, transmita o procese datos de titulares de tarjetas a través de él. Estos administradores deben cumplir con PCI-DSS en 12 meses a partir de recibir la notificación de VISA o de su adquirente y como proveedor de servicios de nivel 1.
En cuanto a los pasos que deben dar los 'Administradores de Franquicias' son los siguientes:
- Contratar a un QSA en un plazo de 90 días y enviar el acuerdo a su adquirente.
- Planificar la evaluación inicial in situ en un plazo de 30 días desde la firma del contrato y enviar dicha planificación al adquirente.
- Completar la revisión y enviar el informe inicial (iROC) en un plazo de 150 días desde la evaluación inicial.
- El 'Administrador' tiene un plazo de 90 días para remediar los aspectos detectados y enviar el informe final y el plan de acción.
- Una vez cumpla con PCI DSS se envían a VISA el "Resumen Ejecutivo" y el documento "Attestation of Compliance" firmados.
... ¿Todavía no me sigues en twitter.com/antonio_ramosga?
Más información | Third Party Agent Program de VISA
No hay comentarios:
Publicar un comentario